Nettsamfunn og sikkerhet

Transkript

1 Nasjonal sikkerhetsmyndighet Temahefte 1/2008 Nettsamfunn og sikkerhet Nasjonal sikkerhetsmyndighet

2 Dato Versjon Endringer Godkjent av Side 2 av 29

3 Innhold Forord...4 Sikkerhetskultur og sikkerhetsbevissthet...5 Mennesket sikkerhetens svakeste ledd?...7 De potensielle trusselaktørene og deres metoder...7 Informasjonssikkerhet et samspill mellom mennesker og teknologi...9 Hva er nettsamfunn?...10 Utvikling av nettsamfunn...11 Fenomenet Facebook et godt eksempel...11 Sikkerhetsmessig risiko ved nettsamfunn...12 Personlig risiko...14 Betrodde ansatte blir synlige via nettsamfunn...15 Digital informasjonsutnyttelse...16 Analog informasjonsutnyttelse...18 Anbefalte tiltak for virksomhetens ledere Ta lederansvar! Fortløpende vurderinger og oppfølging Endring av sikkerhetsmessig adferd hos ansatte Anbefalte tiltak for enkeltpersoner Oppsummering Vedlegg Hvordan tenke personvern i Facebook? Eksempel på retningslinjer for ansattes deltakelse i og på nettsamfunn, diskusjonsforum, blogging, chatting og private hjemmesider Litteraturliste Side 3 av 29

4 Forord Den teknologiske utviklingen fører til mange goder. Vi kan kommunisere på nye og spennende måter, og holde kontakten med familie, venner og kollegaer på en annen måte enn før. Samtidig øker risikoen for at vi tar i bruk teknologien før vi har vurdert konsekvensene. De sikkerhetsmessige konsekvensene har ikke bare med teknologi å gjøre. Mennesket spiller en vel så viktig rolle. Mange tar i bruk nye tjenester uten å ha en bevisst holdning til hva slags sikkerhetsmessige utfordringer disse reiser. En av de nye utfordringene er nettsamfunn, og de mulighetene disse gir brukerne. Nettsamfunn er tjenester som har kommet for å bli, selv om de sannsynligvis kommer til å variere i popularitet og utbredelse. Tjenestene søker hele tiden å forbedre sine tilbud til brukerne. Nye tjenester og ny teknologi vil fortsette å utfordre brukernes sikkerhetsbevissthet. Nasjonal sikkerhetsmyndighet (NSM) er på ingen måte motstander av nettsamfunn. Men vi så ganske raskt et behov for å skape en bedre bevissthet rundt bruken. Sikkerhetsgradert og annen sensitiv informasjon ble offentliggjort. Mange ansatte med tilgang til sikkerhetsgradert informasjon gjorde seg synlige for det vi kaller potensielle trusselaktører. En slik utvikling var selvsagt ikke ønskelig, og vi iverksatte flere tiltak for å bevisstgjøre brukerne av nettsamfunn. Responsen på våre tiltak har vært godt mottatt, og mange virksomheter ser ut til å ha tatt utfordringen på alvor. Dette temaheftet har som målsetning å informere om de sikkerhetsmessige utfordringene som bruken av nettsamfunn reiser, spesielt for ansatte som har tilgang til sikkerhetsgradert eller annen sensitiv informasjon. Nettsamfunn er en hyggelig måte å kunne kommunisere med omverdenen. Samtidig stiller det brukerne og informasjonseiere overfor sikkerhetsmessige utfordringer som vi anbefaler at man tar på alvor. Geir Samuelsen Fungerende direktør Nasjonal sikkerhetsmyndighet Side 4 av 29

5 Sikkerhetskultur og sikkerhetsbevissthet Det norske samfunnets avhengighet av IKT og Internett har økt. Samfunnet som helhet har blitt mer sårbart for selv kortere driftsavbrudd i systemer og nett. Den økte sårbarheten skyldes blant annet økt kompleksitet i IT-systemer og nettbaserte tjenester. Beskyttelsen av sikkerhetsgradert eller sensitiv informasjon som systemene forvalter er samfunnsviktige oppgaver. I dagens informasjonssamfunn er informasjon i seg selv en handelsvare hvor muligheten for stor finansiell vinning er en høy motivasjonsfaktor for mange aktører som utfordrer samfunnets informasjonssikkerhet. Det er en økende tendens til at aktørene benytter målrettede, skreddersydde, og profesjonelle angrep i forsøk på å skaffe seg informasjon eller systemkontroll. Samfunnets informasjonssikkerhet er derfor et viktig satsningsområde beskrevet i regjeringens nasjonale retningslinjer for å styrke informasjonssikkerheten i det norske samfunnet. 1 Bevisstgjøring om hvilke risikoer og trusler som er aktuelle for dagens IT-brukere er av stor betydning for hva slags beslutninger og handlinger brukerne foretar. Brukernes adferd kommer til uttrykk gjennom en organisasjons sikkerhetskultur, som igjen kan være en målestokk på hvor robust samfunnets informasjonssikkerhet er. Regjeringen har gjennom sine nasjonale retningslinjer for å styrke informasjonssikkerheten gitt uttrykk for hvilke utfordringer som må løses når de uttaler: En av de største utfordringene for informasjonssikkerheten er manglende sikkerhetsbevissthet hos brukere. Mange virksomheter og enkeltindivider undervurderer risikoen ved dårlig informasjonssikkerhet enkeltindivider, enten de er hjemmebrukere eller ansatt i en virksomhet, ser ut til å ha en generell mangel på kunnskap og bevissthet omkring behovet for informasjonssikkerhet, og hvilken rolle de selv spiller som aktør i et nett. Sikkerhetskultur er summen av de ansattes kunnskap, motivasjon, holdninger og adferd som kommer til uttrykk gjennom virksomhetens totale sikkerhetsadferd Nasjonal sikkerhetsmyndighet, 2007 Nasjonal sikkerhetsmyndighet opprettet våren 2007 en avdeling med ansvar for å bevisstgjøre og videreutvikle de virkemidler som er med på å gi virksomheter og organisasjoner en god sikkerhetskultur. Gjennom å gi de ansatte kunnskap og forståelse om sikkerhet og sikkerhetsprosesserer i virksomheten kan motivasjon og holdninger skapes. Målet er å få kunnskap, motivasjon og holdninger omsatt i handlinger og adferd som vil ha en positiv effekt på virksomhetens sikkerhetstilstand. 1 Nasjonale retningslinjer for å styrke informasjonssikkerheten , FAD, 2007 Side 5 av 29

6 Når ord som sikkerhet, sikkerhetskultur og sikkerhetsbevissthet blir benyttet i dette temahefte er det i betydning av de tiltak som benyttes for å kunne beskytte informasjon av betydning for rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser som er regulert gjennom den nasjonale sikkerhetslovgivningen. Nettsamfunn utgjør en sikkerhetsmessig utfordring for alle, uavhengig av hva slags informasjon man ønsker å beskytte. Dette temaheftet vil således være relevant i forhold til å kunne informere og bevisstgjøre virksomheter, organisasjoner, bedrifter og enkeltpersoner som ikke arbeider med informasjonen knyttet til nasjonale sikkerhetsinteresser. Man har i Norge ønske om et mest mulig åpent samfunn. Offentlig informasjon skal i utgangspunktet være allment tilgjengelig. Det finnes imidlertid unntak. Sikkerhetsgraderte og personsensitive opplysninger er blant de som skal beskyttes. Nasjonal sikkerhetsmyndighet har over lang tid påpekt viktigheten av verdivurdering 2. En profesjonell og balansert verdivurdering er en av de viktigste faktorer for å starte bevisstgjøringen av virksomheter og deres ansatte om hvilken informasjon man trenger å beskytte. Uten en god verdivurdering er det vanskelig å få på plass godt tilpassede sikkerhetstiltak. En fraværende eller dårlig verdivurdering vanskeliggjør veien mot god sikkerhetskultur i en organisasjon. Dersom en slik bevisstgjøring skal finne sted, må den underbygges med informasjon om risiko- og trusselbildet sammen med konkrete konsekvenser som beskrives på en måte som gjør at enkeltpersoner forstår sin rolle og blir motivert til å bidra til å beskytte informasjonen. Verdivurdering er evnen til å sortere og finne frem til hva som er den viktigste informasjonen man må beskytte sett ut i fra hvilken skade som kan skje dersom informasjonen kommer på avveie En undersøkelse gjort i Forsvaret 3 viser at det er stor forskjell på sikkerhetsbevisstheten hos de ansatte i forhold til nettsamfunn. Forskjellene kommer frem når det gjøres sammenligninger mellom de ansatte som arbeider i avdelinger hvor det finnes interne retningslinjer for bruk av nettsamfunn og de som ikke hadde slike retningslinjer. De med retningslinjer fremstår som mer bevisste på hva slags informasjon de deler med andre på nettet og i nettsamfunn, mens de uten retningslinjer ikke ser ut til å inneha den samme sikkerhetsmessige bevisstheten. Dette understreker behovet for å skape en bevissthet hos de ansatte som et ledd i å utvikle en god sikkerhetskultur i en organisasjon. 2 Veiledning i verdivurdering, side 5, Nasjonal sikkerhetsmyndighet, Forsvarsansattes bruk av digitale sosiale nettverk (s 9), Eidissen/Nordli (Forsvarets Ingeniørhøgskole 2007) Side 6 av 29

7 Mennesket sikkerhetens svakeste ledd? Mennesket fremstilles ofte som sikkerhetens svakeste ledd. Resultatet av en persons manglende holdninger kan redusere betydningen av de forebyggende sikkerhetstiltakene slik at tiltakenes verdi blir minimalisert. Motivasjonen for å begå slike handlinger kan være mangeartede, men det er nærliggende å anta at mange daglige sikkerhetsbrudd eller manglende sikkerhet, skyldes vanlige menneskelige forhold som; manglende kunnskap, bevissthet og motivasjon, naivitet, latskap, eller uvilje. En annen utfordring er når de valgte sikkerhetsrutinene eller sikkerhetsløsningen skaper store motsetningsforhold mellom ivaretakelse av den daglige sikkerhet og den ansattes andre arbeidsoppgaver. Gjennom kontinuerlig bevisstgjøring og motivasjon om hvorfor behovet for sikkerhetstiltak, rutiner eller prosesser er til stede, kan det minske sjansen for at ansatte utgjør det svakeste ledd i våre sikkerhetsbarrierer. Slik motivasjon og bevisstgjøring må være en kontinuerlig prosess som skjer i takt med hvordan teknologi, ressurser, risiko og trusler utvikler seg. De potensielle trusselaktørene og deres metoder I dagens globaliserte samfunn finnes det mange ulike aktører som vil kunne ha interesse av informasjon som er sikkerhetsgradert med tanke å beskytte rikets sikkerhet. I følge Politiets sikkerhetstjeneste (PST) har for eksempel fremmede staters etterretning en høy etterretningsaktivitet mot Norge og norske interesser 4. Mange trusselaktører må anses å ha gode menneskelige og teknologiske kapasiteter for slik informasjonsinnhenting. Informasjonssamfunnet har gjort det lettere enn noen gang å samle inn informasjon som kan ha verdi for en trusselaktør. Aktørene trenger ikke lenger nødvendigvis å ha store ressurser for å innhente verdifull informasjon. Informasjon som tidligere kun var tilgjengelig for en trusselaktør ved bruk av store ressurser og ulovlige innhentingsmetoder, kan nå eksempelvis søkes opp på internett, uten at aktøren fysisk trenger å befinne seg innenfor Norges grenser. 4 Politiets sikkerhetstjenestes ugraderte trusselvurdering 2008 (s 4) Side 7 av 29

8 Det er ikke nødvendigvis bare sikkerhetsgradert informasjon som kan være av verdi for en trusselaktør. Selv triviell informasjon kan utnyttes i en prosess for å fremskaffe ytterligere informasjon som er av en helt annen karakter. På samme måte vil mange trusselaktører være i stand til å utnytte uskyldige mennesker som et ledd i å skaffe seg informasjon som utgjør en verdi for deres målsetninger. Norge er et åpent samfunn og mye informasjon er åpent tilgjengelig. Dette gir gode vilkår for fremmede etterretningstjenesters aktiviteter. Kontraetterretningsarbeidet gjøres best ute i hver enkelt virksomhet ved at man er bevisst på etterretningstrusselen, verdien av den informasjon man forvalter, hvordan og med hvem informasjonen deles, og hvordan informasjonen sikres. Politiets sikkerhetstjenestes ugraderte trusselvurdering 2008 En slik innsamling av informasjon kan sammenlignes med å legge et puslespill, hvor de ulike bitene blir innhentet etter en langsiktig plan. Det kan være vanskelig for enkeltindivider som gir fra seg informasjonsbrikker å forstå at de er blitt utnyttet til et slikt formål. Informasjonsinnhenting vil ikke nødvendigvis ha synlige konsekvenser på kort sikt, men informasjonsinnhentingen kan på lang sikt få stor betydning. Bruk av informasjon Innhenting av informasjon Utnytte tillit for mer informasjon Kontakt/utnyttelse av kontakt Små biter med informasjon kan for eksempel gjøre det mulig for en trusselaktør å fremstille seg selv som en insider med lovlig tilgang til informasjon som trusselaktøren er på jakt etter. Ved hjelp av forholdsvis triviell informasjon kan en dyktig trusselaktør manipulere andre mennesker til å tro på den illusjonen som skapes. En slik fremgangsmåte kan beskrives som Social Engineering eller på norsk - menneskelig manipulering. En trusselaktør kan benytte informasjon av liten verdi til å skaffe seg tilgang til informasjon av høyere verdi. Denne sirkelen kan gjentas inntil trusselaktøren har skaffet seg den informasjonen som var målet for aktiviteten. Informasjonen kan til slutt utnyttes til handlinger som ikke er i bedriften eller Norges interesse. Side 8 av 29

9 Informasjonssikkerhet et samspill mellom mennesker og teknologi Som mennesker blir vi blir stadig utfordret av teknologi og nye måter å kommunisere på. Dette øker risikoen for at både enkeltindivider og organisasjoner tar i bruk nye teknologiske løsninger uten å vurdere alle konsekvensene ved å ta den i bruk. Alt for mange snakker om informasjonssikkerhet som om det kun er tekniske utfordringer som må løses. Data- og informasjonssikkerhet i bedrifter og virksomheter er ikke bare brannmurer, passord og antivirusprogrammer. Det er i aller høyeste grad et spørsmål om hvor bevisst organisasjonen og de ansatte er i forhold til å beskytte den informasjonen som bør beskyttes. Den største sikkerhetsrisikoen ligger hos det som befinner seg mellom dataskjermen og kontorstolen - mennesket. Den mest åpenlyse risiko er at personer eller organisasjoner bevisst eller ubevisst publiserer sikkerhetsgradert informasjon på Internett. Slik informasjon har blitt publisert tidligere, og det kommer sannsynligvis til å skje igjen på grunn av menneskets manglende forståelse og sikkerhetsbevissthet. En virksomhets informasjonssikkerhet vil kun være så god som de ansattes sikkerhetsbevissthet og virksomhetens sikkerhetskultur tillater den å være Internett er et medium med et tilnærmet ubegrenset spredningspotensiale av informasjon. Sensitiv informasjon publisert på internett gjør skadepotensialet ekstra stort fordi så mange har tilgang til den. Det er en kjensgjerning at mange aktører jobber aktivt med å samle inn slik informasjon. Hovedsakelig kan dette sees på som helt legal innsamling av informasjon fra åpne kilder. Likevel er ikke all innsamling av informasjonen ønskelig når det skjer fra trusselaktører som etterretnings- og terrororganisasjoner, kriminelle- og hackermiljøer. Når en verdivurdering av hva som publiseres i åpne kilder er mangelfull eller i verste fall ikke er gjennomført, øker muligheten for at sensitiv informasjon kompromitteres. Innsamling eller kartlegging av personlig informasjon fra nettsamfunn kan også være uheldig. Typen informasjon som mange publiserer om seg selv via nettsamfunn er av en slik art den vanligvis ikke ville ha vært allment tilgjengelig. I dag gir mange bort personsensitiv informasjon uten fullt ut å ha tenkt på mulige kortsiktige og langsiktige konsekvenser. Side 9 av 29

10 Hva er nettsamfunn? Nettsamfunn er internettbaserte samlingssteder som gjør det mulig for mennesker å kommunisere med andre ved å utveksle personlig informasjon, meninger, nyheter, bilder, filer m.m. For å bli bruker av de ulike nettsamfunn som tilbys på internett må den enkelte i de aller fleste tilfeller registrere seg hos tilbyder/eier av nettsamfunnet. Ved å opprette en personlig profil og knytte til seg andres profiler dannes store sosiale sosialt nettverk med store mengder av personlig informasjon. Fremveksten av nettsamfunn har vært økende og det finnes i dag et utall av tjenester som enkeltpersoner kan bli en del av. Tjenestene er i de fleste tilfeller gratis og det eksisterer i dag mange ulike nettsamfunn for ulike målgrupper i forhold til bruks- og interesseområde, aldersegment og språk m.m. Bak mange av tjenestene befinner det seg ofte sterke markedsinteresser og flere av nettsamfunnene er i større grad i ferd med å kommersialiseres. Noen norske nettsamfunn* Noen internasjonale nettsamfunn* Nettby Facebook Blink Linkedin Biip MySpace Zyphnet Twitter Alias YouTube Mygeolog Orkut ME Flickr Gaysir Moshimonsters Smootown *Pr. 30. Mars 2008 I tillegg kan man delvis definere tjenester som MSN, IRC og andre som nettsamfunn. Dette er typiske tjenester hvor brukeren ofte opptrer forholdsvis anonymt, men hvor man også kan opptre med fullt navn dersom man ønsker det. Noen av de mest populære nettsamfunn i Norge i dag, er nettsamfunn som oppfordrer brukeren til å opptre som seg selv med fullt navn og påfølgende personlig informasjon av ulik art. Dette skjer i tråd med en samfunnsutvikling hvor det i langt større grad enn tidligere er viktig å bli sett av andre, ha mange venner, være populær osv. Nettsamfunn er et verktøy hvor dette kan oppnås. Utklipp fra nettsamfunnet Alias (sol.no) Side 10 av 29

11 Utvikling av nettsamfunn Kommunikasjon i sosiale nettverk på internett har utviklet seg fra en form hvor de aller fleste brukerne har opptrådt forholdsvis anonymt med såkalte nick (kallenavn). Utviklingen har gått videre til tjenester hvor det har vært noe variasjon hos brukerne mellom å presentere seg selv med eget navn eller å fortsatt bruke anonyme nick. De siste årene har trenden endret seg drastisk ved at de mest populære tjenestene på mange måter forutsetter at brukerne opptrer som seg selv. Mye av den sosiale kommunikasjonen som har skjedd i den virtuelle verden har vært av en slik art at informasjonsutvekslingen tidligere kunne oppleves som ufarlig da informasjonseierne opptrådte anonymt. Denne situasjonen har endret seg når brukerne begynner å opptre som seg selv i den virtuelle verden. Mange brukere opplever det tryggere å oppgi slik informasjon i den virtuelle verden, mens de aldri ville ha oppgitt slik informasjon i virkeligheten. Informasjonen som tilbys andre er nå identifiserbar opp i mot enkeltpersoner på en måte som gjør det forholdsvis enkelt å utnytte slik informasjon til uønskede handlinger. Ta de samme forhåndsregler på nettet, som du ville ha gjort i den virkelige verden Flere av nettsamfunnene er i ferd med å kommersialiseres ved at informasjonen som samles i nettsamfunnene gjøres tilgjengelig for ulike kommersielle aktører som kan skreddersy ulike tilbud til brukerne, basert på deres personlige informasjon. Mange bedrifter og organisasjoner har også tatt i bruk nettsamfunn som en profilerings- og informasjonskanal til mulige kunder. Dagens nettsamfunn tilfredsstiller sannsynligvis også deler av den menneskelige nysgjerrigheten ved at den vekker en interesse for hva ens venner, kollegaer og naboer skriver om seg selv og sine liv. Nettsamfunnene har også et fellestrekk ved at man ikke direkte kan få ta del i informasjonen, før en selv er blitt medlem i nettsamfunnet. Her stilles den nye brukeren ovenfor en del utfordringer i form av hva man selv skal legge ut om seg selv i sin profil på nettsamfunnet. Da nye brukere på et slikt tidspunkt sannsynligvis ikke er godt kjent med nettsamfunnet er det grunn til å anta at iveren etter å komme i gang er sterkere enn lysten til å sette seg inn i nettsamfunnets sikkerhetsinnstillinger og policy. Fenomenet Facebook et godt eksempel Nasjonal sikkerhetsmyndighet er på ingen måte i mot nettsamfunn. Nettsamfunn er tjenester som er kommet for å bli. Samtidig som de kan være til glede og til hjelp med å kommunisere med andre mennesker, krever det etter vår oppfatning en særdeles bevissthet fra brukeren om hvor mye personsensitiv informasjon han/hun ønsker å publisere om seg selv. Nasjonal sikkerhetsmyndighet har i sitt arbeid med bevisstgjøringen om denne utfordringen hatt et ekstra fokus rettet mot nettsamfunnet Facebook. Det har vært to årsaker til denne interessen. Side 11 av 29

12 Popularitet og utbredelse hos norske brukere. Facebook gir brukeren stor frihet til å utlevere personsensitiv informasjon. Facebooks raskt økende popularitet hos norske brukere førte nok til et visst press for ikkemedlemmer om å melde seg inn for å treffe venner eller bekjente som allerede hadde tatt i bruk tjenesten. Det er grunnlag for å hevde at mange av de som ble medlemmer av Facebook aldri tidligere hadde brukt lignende sosiale verktøy eller andre nettsamfunn. Allerede under registreringen for å opprette en Facebook profil blir bevisstheten om hvor mye og hva slags informasjon den enkelte er ønsker å gi fra seg, satt på prøve. I Facebook er hensikten at brukeren skal opptre som seg selv, da hovedhensikten er å finne, gjenopprette eller opprettholde kontakt med personer man allerede har hatt en eller annen sosial kontakt med tidligere. Mulighetene for å bli funnet av andre man kjenner øker selvsagt når brukeren oppgir fullt navn i stedet for et anonymt kallenavn. De aller fleste nettsamfunn tilbyr den enkelte bruker muligheten til å begrense hvem som kan få tilgang til deres personlige informasjon. Mange velger allikevel ikke å benytte seg av denne muligheten. Ved å begrense hvem som kan få tilgang til informasjon vil heller ikke brukeren bli oppdaget av personer man gjerne ønsker kontakt med. Det har også forekommet hendelser hvor slike brukerdefinerte begrensninger ikke har fungert og andre brukere på grunn av feil har fått tilgang til andres brukerkontoer. Facebook har også gitt uttrykk for at Public Search Listings vil bli gjort tilgjengelig for søkemotorer som Google, Yahoo osv. Dette medfører at det blir mulig for personer som ikke er brukere av Facebook å søke etter brukere av tjenesten. Hva som vil kunne vises av informasjon vil være avhengige av hvilke brukerdefinerte begrensninger den enkelte har satt opp. Sikkerhetsmessig risiko ved nettsamfunn Bruken av personlig informasjon på internett skaper ikke bare en rekke utfordringer i forhold til sikkerhet, men også andre utfordringer som det kan være verdt å tenke på for hver enkelt bruker. Internett og nettsamfunn har gitt oss mulighet til å dele vårt privatliv med veldig mange mennesker. Da bør vi også gjøre en vurdering om hvorvidt vi ønsker at alle med tilgang til internett skal ha fullt innsyn i informasjonen Den informasjonen den enkelte bruker av et nettsamfunn velger å legge ut om seg selv vil kunne brukes i mange sammenhenger som ikke nødvendigvis vil være til brukerens beste. Flere samfunnsaktører har påpekt at informasjonen fra nettsamfunn gjør det lettere å begå identitetstyveri med de konsekvenser det vil medføre for de som blir utsatt for dette. Det er flere eksempler på at triviell informasjon på nettsamfunn benyttes til å begå straffbare handlinger mot de som har valgt å legge ut informasjonen. Mange blir sårbare for sosial manipulering fra aktører som er villige Side 12 av 29

13 til å utnytte informasjon til f. eks å begå kriminelle handlinger. Den norske personvernlovgivningen gir retningslinjer på hvordan personopplysninger skal håndteres og beskyttes, men hvor godt beskytter den enkelte sin egen personlige informasjon? Datatilsynet var tidlig ute med anbefalinger om hvordan enkeltpersoner selv må beskytte sin personlige informasjon når de deltar i nettsamfunn 5. De påpeker viktigheten av å ivareta sitt eget personvern, og å respektere andres. Et system som bygger på virtuelle relasjoner og som gir mennesker anledning til å samle og spre informasjon, øker risikoen for at gradert eller sensitiv informasjon havner i feil hender. Når organisasjoner og deres ansatte ikke er bevisst verdien av informasjonen som legges ut på nettsamfunn, øker risikoen for at sikkerhetsgradert informasjon blir offentliggjort. En person eller en organisasjons omdømme vil også være relevant å tenke på i en slik forbindelse. Det finnes mange eksempler på organisasjoner og bedrifter som via grupper i nettsamfunn fremstår som om de har opprettet en offisiell informasjonskanal i et nettsamfunn uten at de har gjort det. Ofte er det er initiativrike ansatte som har opprettet gruppen hvor mange andre ansatte i bedriften melder seg inn i samme gruppe og hvor de fremstår som bedriftens ansikt utad. NSM har sett flere eksempler der medlemmene av slike grupper i et nettsamfunn kommuniserer med hverandre som om de skulle befinne seg på bedriftens intranett. Dette kan fort medføre et tap av omdømme for bedriften, eller i verste fall lekkasjer av bedriftssensitiv informasjon. I dagens informasjonssamfunn har stort sett all informasjon en eller annen form for verdi. Denne verdien er varierende ut i fra hvilke behov informasjonsbrukeren har for informasjonen, og dens bruksområder kan være av både positiv eller negativ karakter. Manglende bevissthet i forhold til informasjonens verdi påvirker hvor godt man beskytter den. En av de viktigste oppgavene er derfor å identifisere den informasjonen som er av en slik verdi at den trenger beskyttelse. Det er dette som er verdivurdering. Internett har gjort det mulig at informasjon som tidligere var tilgjengelig for en mindre gruppe, i praksis nå er tilgjengelig for hele verden. Dette er selvsagt et gode for et åpent og inkluderende samfunn, men det skaper også utfordringer i forhold til å beskytte informasjon, uansett om det er ens egen private informasjon eller bedriftens informasjon der man er ansatt. Informasjon som blir presentert via nettsamfunn kan gjøre det forholdsvis enkelt for trusselaktører og andre interesserte å: Gjennomføre en detaljert kartlegging av virksomheter og bedrifters organisering. Overvåke hva som skjer i virksomheten Ta pulsen på hva som skjer. Finne teknologiske svakheter og benytte disse til ytterligere informasjonsinnhenting. Samle og utnytte den informasjonen som blir publisert. 5 Hvordan tenke personvern i Facebook? Datatilsynets hjemmesider publisert Side 13 av 29

14 Finne ansatte som har tilgang til sikkerhetsgradert informasjon. Kartlegge de ansattes personlige svakheter. Teste sårbarheter. Personlig risiko Det finnes i dag mange kilder til informasjon om enkeltpersoner som er tilgjengelig via offentlige og private kilder. Den tilgjengelige informasjon er som regel av en slik art at det må anses å være forholdsvis generelle personopplysninger om den enkelte. Personlig informasjon av sensitiv art vil derimot vanskelig kunne fremskaffes av andre gjennom offentlige registre eller andre kilder. Det finnes få andre kilder til slik informasjon enn nettopp fra oss selv. Hver og en av oss bør vurdere om vi er komfortable med at slik type informasjon er tilgjengelig for andre ved at vi selv publiserer den på nett. Navn Fødselsnummer Fødested Bosted Yrke Yrkeserfaring Bilder av seg selv/andre Utdanning Politisk ståsted Sivilstatus Mulige seksuelle preferanser Religion Fremtidsplaner Arbeidsgiver Stilling Ansvar Arbeidsoppgaver Fritidsinteresser Familiens identitet Venners identitet Kollegaers identitet Reisevirksomhet Indirekte beskrivelse av egen helse Organisasjonsvirksomhet Mobiltelefonnummer E-post adresse Ønsker/drømmer Indirekte beskrivelse av økonomi Slik NSM opplever informasjonsmengden hos brukerne av nettsamfunn, er det ikke uvanlig å se brukerprofil på nettet som omfatter følgende personlige forhold: Ville vi ha oppgitt e-post adresse, sivilstatus, religion, politisk ståsted, stilling, arbeidsoppgaver, arbeidsgiver, utdanning, familie, venner, kjærester, reise og fritidsinteresser, drømmer og følelsesliv til en person vi tilfeldigvis møtte på gaten? Sannsynligvis er det få som ville ha vært komfortable med dette. Likevel er det mange som nettopp utleverer slik informasjon frivillig via sine profiler på nettsamfunn. Selv om denne personlige informasjon samlet, eller delt, kan sees på som triviell eller ha liten betydning, kan den lett utnyttes av en trusselaktør, dersom profileieren eller arbeidsgiveren vurderes til å være av interesse for dem. Vi kan si at også trusselaktører Side 14 av 29

15 bedriver verdivurderinger av personer som antas å ha størst effekt eller nytteverdi i form av informasjonsinnhenting. En vurdering av hva slags informasjon en person kan fremskaffe Lav verdi Triviell informasjon Bakgrunns informasjon Et mål om å skaffe ytteligere i informasjon som er av større verdi Kan utnyttes eller manipuleres til å begå direkte handlinger Middels verdi Større informasjonstillgang Informasjon om systemer eller prosesser som kan utnyttes direkte Kan utnyttes eller manipuleres til å begå direkte handlinger Høy verdi Direkte tilgang til informasjon av høy verdi som er aktørens mål Kan utnyttes eller manipuleres til å begå direkte handlinger kan bestå av mange elementer som igjen vil variere i forhold til hvilke mål en trusselaktør måtte ha. Informasjon om virksomheter, organisasjoner, bedrifter eller enkeltpersoner blir spesielt en sikkerhetsrisiko når personer kobler sammen sin personlige informasjon sammen med informasjon om hvem de arbeider for, hvor de arbeider og hva de arbeider med. Når informasjon som fremskaffes blir koblet sammen med annen tilgjengelig informasjon fra åpne kilder kan summen om hva som kan fremskaffes av informasjon om en enkelt person bli meget høy. Dersom trusselaktøren også benytter ulovlige metoder for å innhente informasjon øker selvsagt mengden ytterligere. Betrodde ansatte blir synlige via nettsamfunn Mennesker som forvalter sikkerhetsgradert informasjon er den gruppen som kan forårsake størst skade ved, indirekte eller direkte, kompromittere sikkerhetsgradert informasjon. Vi skal ikke gå så mange år tilbake i tid før de aller fleste av de som arbeidet med sikkerhetsgradert informasjon utgjorde en forholdsvis anonym masse av arbeidstakere som kun var kjent av arbeidsgiver, ligningskontoret og enkelte andre offentlige etater. Telefonkatalogen fortalte den gang som nå, telefonnummer og adresse, men den avslørte ikke direkte hvem som arbeidet med sikkerhetsgradert informasjon i det norske samfunnet. Det gjorde heller ikke andre åpne kilder. Dagens situasjon er endret. Et stort antall mennesker som daglig arbeider med sikkerhetsgradert informasjon har gjennom sin deltakelse i nettsamfunn gjort seg synlige og Side 15 av 29

16 det at de arbeider med sikkerhetsgradert informasjon. Disse kan ha informasjonstilgang som gjør dem interessante for trusselaktører. Informasjon fra nettsamfunn kan lett benyttes til kartlegging av bedrifter, virksomheter, fagmiljøer, organisasjoner, yrkesgrupper og enkeltpersoner. Vi kan dele en slik informasjonsutnyttelse i to deler: Den digitale informasjonsutnyttelse er å benytte teknologi til ytterligere å fremskaffe informasjon eller å bruke informasjonen som allerede er fremskaffet til å nå sine mål. Den analoge informasjonsutnyttelse er å benytte informasjonen man allerede besitter til fysisk å opprette kontakt med en person man vil utnytte til informasjonsinnhenting. Digital informasjonsutnyttelse Den digitale utnyttelse er for eksempel å benytte den elektroniske informasjonen til å manipulere en person til å senke sin sikkerhetsmessige bevissthet på en slik måte at det gjør det enkelt å gjennomføre ytterligere informasjonsinnhenting. Dette kan utføres på mange måter. Både kortsiktige og langsiktige metoder kan tas i bruk. NSM har gjennom sitt arbeid sett at ulike aktører nå i større grad benytter målrettede dataangrep. (rettet mot ett eller flere mål). Der de tidligere forsøkte og nå så mange som mulig med et angrep, forekommer det nå flere angrep rettet mot enkeltindivider ved hjelp av spesiell, designet ondsinnet kode som eksempel en trojaner. Trusselaktøren er i stor grad avhengig av at mottakeren åpner et vedlegg i en tilsendt e-post eller følger en vedlagt link til et annet nettsted. Når mottakeren allerede er manipulert til å kunne stole på avsenderen, senkes mottakerens sikkerhetsbevissthet og det er enklere for trusselaktøren å nå sitt mål. Side 16 av 29

17 Trojaner En trojaner er ondsinnet programvare som ofte blir benyttet til å stjele sensitiv informasjon fra intetanende ofre. Målrettede trojanere rammer som regel en liten og klart definert målgruppe. Ettersom den ondsinnede koden er skreddersydd for et spesifikt angrep mot en begrenset målgruppe, vil angrepskoden sjelden oppdages og analyseres av sikkerhetsselskapene. Dette fører til at antivirusløsninger ikke vil kunne detektere koden. Informasjonen som stjeles kan være av personlig, kommersiell eller økonomisk art, og kan ramme både enkeltpersoner og bedrifter. Angriperen infiserer vanligvis maskiner ved å sende trojanere som et vedlegg i en e-post, eller ved å sende lenker til websider med ondsinnet kode. Målrettede trojanere forsøker å infisere bestemte maskiner som inneholder sensitiv informasjon som angriperen er på jakt etter spesielt. Dette kan for eksempel være personlige datamaskiner tilhørende viktige personer i en bedrift. Antivirus- og brannmurprodukter gir begrenset beskyttelse mot trojanere, ettersom trojanere ofte er skreddersydd for å unngå å bli oppdaget av disse produktene. Når en trojaner infiserer en brukermaskin kjører den stille i bakgrunnen uten at det er mulig for brukeren å oppdage uregelmessigheter. Trojaneren har som regel tilgang til alle ressurser som brukeren har rettigheter til. NSM/NORCERT, 2008 Ved Universitetet i Indiana (IU) har de ved sin forskning 6 påvist hvordan personlig informasjon fra nettsamfunn kan utnyttes til å fremskaffe informasjon som kan utnyttes videre. Hele 16 % av de som mottok en e-post fra en ukjent avsender ga fra seg private brukernavn og passord. Dette er kanskje et bekymringsfullt tall i seg selv, men hva skjedde når e-posten kom fra en som de trodde de kjente? Da ga hele 72 % fra seg private brukernavn og passord. Andre forsøk har støttet opp under resultatet. Ved West Point Military Academy i USA lot hele 80 % av 400 kadetter seg manipulere ved hjelp av en e-post fra en offiser som ikke en gang fantes. Slik manipulering øker sjansen for at målrettede dataangrep kan lykkes. Analog informasjonsutnyttelse Den analoge informasjonsutnyttelsen er å utnytte den tilgjengelige personlige informasjonen til å ta direkte kontakt med en person som både har interessant informasjon og som fremstår som et passende objekt. Den personlige informasjonen kan gjøre det enkelt for en profesjonell trusselaktør å tilnærme seg og knytte kontakt med en person. Potensielle menneskelige svakheter aktualiseres og forsterkes ved at vedkommende legger ut detaljert personlig informasjon om seg selv. Slik informasjon kan lett utnyttes til Hvordan vet du at en person som du aldri har møtt eller snakket med ansikt til ansikt egentlig er din venn? 6 Social Phishing School of Informatics Indiana University Bloomington December Side 17 av 29

18 manipulering, press, trusler eller direkte vervingsforsøk. Dette kan utføres på mange måter, både kortsiktige og langsiktige metoder kan tas i bruk. Eksempel: Ola Nordmann er interessant for en trusselaktør gjennom tjenestestilling og informasjonstilgang. For trusselaktøren har Ola tilgang til informasjon som for dem har stor betydning. Ola Nordmann gir via sin profil i nettsamfunnet sterkt uttrykk for at hans aller største drøm i livet er å ha økonomisk frihet til å ta med familien på jordomseiling. For en trusselaktør kan spørsmålet være enkelt. Hva er Ola Nordmann villig til å gjøre for at denne drømmen skal gå i oppfyllelse? For trusselaktører kan det finnes mange metoder som kan benyttes på å få svar på et slikt spørsmål. De kan benytte metoder som beskrevet under digital informasjonsutnyttelse eller de kan nærme seg Ola Nordmann direkte ved personlig kontakt. De kan selv velge om de vil gå kort- eller langsiktig til verks. Når trusselaktøren bestemmer seg for å se hvor langt Ola er villig til å gå, ved for eksempel å tilby ham penger i bytte mot sikkerhetsgradert informasjon utsettes Ola for en test av sin lojalitet og pålitelighet i forhold til å beskytte den graderte informasjonen. De aller fleste av oss ville nok ha respondert negativt på en slik henvendelse. Noen måtte tenke seg nøyere om før de svarte, og noen ytterst få ville ha takket ja til et slikt tilbud. Dette er bare en metode som en trusselaktør kunne tenkes å bruke. I en forebyggende sammenheng vil det aller beste være at ingen som befatter seg med sikkerhetsgradert informasjon ble utsatt for slike situasjoner hvor deres lojalitet og pålitelighet settes på prøve. I eksempelet burde Ola ha tenkt seg bedre om før han kombinerte jobbrelatert informasjon som vekker trusselaktørens interesse med en personellsikkerhetsmessig svakhet drømmen om jordomseiling. Dersom denne informasjonen ikke hadde vært så lett tilgjengelig som den kan bli ved nettsamfunnsdeltagelse, ville en slik oppmerksomhet fra en trusselaktør vært mindre trolig. Flere samfunnsaktører og organisasjoner har påpekt mulige negative konsekvenser ved uvettig deltakelse i nettsamfunn. Generelle personvernårsaker, profesjonalitetshensyn og ikke minst muligheten for tap av omdømme gjør at mange burde tenke seg bedre om før de blir innbygger av et nettsamfunn. Den enkelte bør ikke overlates alene til å skulle foreta vurderingene om hva slags arbeidsrelatert informasjon som bør publiseres. Dette er et lederansvar uansett om man arbeider i privat- eller statlig sektor. Bedrifts- og virksomhetsledere må kunne være i stand til å gi råd og veiledning om hvordan virksomhetsrelatert informasjon skal behandles i forhold til ulike nettverkssamfunn. Bedrifter og virksomheter bør også gi råd til sine ansatte om hvordan de bør vurdere sin personlige informasjon som publiseres i nettsamfunn. Side 18 av 29

19 Anbefalte tiltak for virksomhetens ledere Hva er det i virksomheten, organisasjonen eller bedriften som gjør at det er et behov for å beskytte informasjon? Dette er et av de første spørsmål som en virksomhet, organisasjon, eller bedrift må vite svaret på før de kan vurdere hvordan de skal forholde seg til sine ansattes deltakelse på nettsamfunn. Ta lederansvar! De sikkerhetsmessige konsekvenser av den teknologiske utviklingen som nettsamfunn er en del av, lar seg ikke stanse ved å forby eller nekte de ansatte å bruke f. eks Facebook i arbeidstiden eller på arbeidsgiver datautstyr. Ledere må interessere seg for og forstå hvilke utfordringer deres virksomhet står ovenfor Nettverkssamfunn stiller store krav til brukeren. Dersom virksomheter og deres ansatte ikke er bevisst verdien av informasjonen som legges ut på slike sider, øker risikoen for at sikkerhetsgradert informasjon eller forretningshemmeligheter blir offentliggjort. Den samme risikoen er til stede dersom virksomhetene og de ansatte ikke er bevisste i forhold til hvordan personlig informasjon kan utnyttes til indirekte eller direkte å kompromittere sikkerhetsgradert informasjon. Fortløpende vurderinger og oppfølging NSM anbefaler at virksomhetene foretar en verdivurdering av hva slags informasjon som er av en slik art at den bør eller skal beskyttes. En slik vurdering vil også gi virksomhetene en oversikt over hvem av de ansatte som behandler sikkerhetsgradert eller beskyttelsesverdig informasjon i organisasjonen. NSM anbefaler at virksomhetene gjør seg opp en mening om hvilke trusselaktører som vil kunne utvise uønsket interesse for informasjonen som de skal beskytte. NSM anbefaler at virksomhetene undersøker hva som er publisert om virksomheten på nettsamfunn i dag. Med dette som bakgrunn bør virksomhetene gjøre en vurdering av hvilke tiltak som bør iverksettes for å bedre dagens situasjon og den sikkerhetsmessige utfordringen som de kan ha. Virksomhetene bør vurdere å utarbeide en egen policy for hvordan de ansatte skal forholde seg til arbeidsrelatert informasjon i nettsamfunn. Endring av sikkerhetsmessig adferd hos ansatte Virksomheter bør skape en så god sikkerhetsmessig bevissthet som mulig hos sine ansatte. Den ansatte bør ikke være i tvil om hva som kan og ikke kan publiseres på nettet av arbeidsrelatert informasjon. Samtidig bør den enkelte bevisstgjøres i forhold til hvordan personlig informasjon kan utnyttes av andre. Målet med en økt sikkerhetsbevissthet er å endre adferd som igjen vil forbedre virksomhetens sikkerhetstiltak. Virksomhetene bør vurdere om dette er noe som kan gjøres med de samme virkemidler for hele organisasjonen, eller om det må tas ulike hensyn til avdelingers ulike arbeidsoppgaver og ulike behov for sikkerhet. Side 19 av 29

20 Flere virksomheter har utarbeidet egne interne retningslinjer som regulerer de ansattes omgang med arbeidsrelatert informasjon på nettsamfunn. Nasjonal sikkerhetsmyndighet har selv slike interne retningslinjer som er vedlagt 7 i dette temahefte. Våre interne retningslinjer er etablert gjennom dialog mellom de ansatte og deres representanter. Dette styrker ikke bare medbestemmelsesretten, men blir også en garanti for at kunnskap og forståelse for problemstillingene spres i organisasjonen. NSM vil påpeke at våre retningslinjer ikke nødvendigvis er overførbare til andre organisasjoner, bedrifter eller virksomheter. Det er virksomhetens egen verdivurdering som må legges til grunn for slike retningslinjer. Å endre sikkerhetsmessig adferd er ikke en enkel oppgave. Mye avhenger av hvilke virkemidler som tas i bruk. Å henvise til lovens formelle krav om sikkerhetstiltak er ikke nødvendigvis det beste utgangspunkt for å motivere sine ansatte. NSM anbefaler virksomhetene å informere sine ansatte så mye som mulig om følgende punkter: Informasjon om hva som er beskyttelsesverdig i organisasjonen. Informasjon og kunnskap om konsekvensene dersom informasjonen skulle kompromitteres eller misbrukes. Informasjon om trusselaktørene. Hvordan de kan tenkes å arbeide og hvorfor de kan være interessert i organisasjonens beskyttelsesverdig informasjon. Informasjon og kunnskap om hvordan nettsamfunn kan utgjøre en sikkerhetsrisiko mot informasjonen som skal beskyttes. Informasjon og kunnskap om hvordan informasjon av liten verdi kan benyttes til å fremskaffe informasjon av høy verdi (social engineering). 7 Retningslinjer for NSM ansattes deltakelse i og på nettsamfunn, diskusjonsforum.. NSM, 2007 Side 20 av 29

21 Kunnskap Adferd Informasjon Motivasjon Informasjon og kunnskap er noe som til stadighet bør fornyes. Virksomhetene bør derfor søke å bevisstgjøre sine ansatte regelmessig. NSM minner også om at sikkerhetstrusler og risiko er i stadig endring. De forebyggende sikkerhetstiltak må stå i stil til den reelle situasjon virksomheten befinner seg i. Gjennom informasjon og kunnskap skapes forståelse og motivasjon, som igjen vil påvirke den enkeltes sikkerhetsadferd Anbefalte tiltak for enkeltpersoner Hva er du komfortabel med at alle andre kan få vite om deg? Mye av den informasjonen mange presenterer i en profil på et nettsamfunn kan direkte og indirekte fortelle mye om deg som person på godt og vondt. Å kommunisere med andre på nettet kan være utfordrende. Du vet ikke alltid hvem du faktisk kommuniserer med. Mangel på fysisk tilstedeværelse kan skape en falsk trygghetsfølelse som hver og en av oss bør tenke over før vi utleverer for mye om oss selv. På samme måte som vi advarer barn og unge mot ikke å utlevere for mye informasjon om seg selv på nett eller i andre sammenhenger, bør vi som voksne være klar over at det også for voksne finnes sikkerhetsutfordringer ved å ferdes på nett. Hva slags tiltak kan du selv treffe for ikke å utlevere for mye informasjon om deg selv på internett og nettsamfunn: Ta dagslystesten. Se på informasjonen (bilder, tekst og video) du har tenkt å legge ut på din profil. Spør deg selv om du kan stå inne for denne informasjonen ovenfor din nærmeste familie, venner, kjærester, arbeidskollegaer og arbeidsgiver. Dersom svaret ditt er nei, bør du kanskje ikke publisere informasjonen. Husk at internett er en søkbar informasjonskilde for alle. Husk at mange internettjenester knytter sammen informasjon om deg og gjør det lett tilgjengelig for andre. Side 21 av 29

22 Gi aldri bort tilgang til egne e-postadresser, brukernavn og passord. Begrens den personlige informasjonen du legger ut om deg selv. Tenk langsiktig. Kontroller nettsamfunnet du har tenkt å delta i. Les deres policyregler for håndtering av personinformasjon, spesielt hvordan de sprer slik informasjon, til hvem og med hvilken hensikt de deler den med andre. Kontroller at egenpublisert informasjon kan slettes dersom du ønsker det. Husk at informasjonen likevel kan lagres andre steder utenfor din kontroll. Kontroller hva slags informasjon som kreves av deg for å bli medlem av et nettsamfunn og hva slags informasjon du eventuelt kan velge bort i den innledende registreringen av din profil. Bruk de sikkerhetsinnstillingene som et nettsamfunn tilbyr deg. Gi kun adgang til informasjon om deg selv til de du selv godkjenner. Test sikkerhetsinnstillingene før du tar profilen din i full bruk. Vær skeptisk til fremmede du møter på nettet. En venn er ikke nødvendigvis din venn. Legg ikke ut informasjon om andre uten tillatelse. Legg ikke ut arbeidsrelatert informasjon om din egen arbeidsgiver som ikke er allment tilgjengelig, uten samtykke til dette. Bruk nettsamfunn som et hyggelig verktøy til å holde kontakten med personer som har betydning for deg, men vær bevisst på de utfordringer som er i forhold til informasjonsmengden du publiserer om deg selv og som lett kan utnyttes av andre. Side 22 av 29

23 Oppsummering Nettsamfunn er tjenester som har kommet for å bli, selv om de sannsynligvis kommer til å variere i popularitet og utbredelse. Tjenestene søker hele tiden å forbedre sine tilbud til brukerne, som igjen betyr nye utfordringer som den enkelte må forholde seg til. Trenden ser ut til å bli en ytterligere sammensmelting av nettsamfunn på web og mobile løsninger via den enkeltes mobiltelefon. Nye tjenester og teknologi vil fortsette å utfordre brukernes sikkerhetsbevissthet. NSM anbefaler at sikkerhetsbevissthet ved deltakelse i nettsamfunn gjøres til et tema i autorisasjonssamtalene ved virksomhetene. NSM har sett at økt fokusering og bevisstgjøring av sikkerhetsutfordringer ved nettsamfunn har gitt positive resultater. Mange virksomheter og ansatte ser ut til å ha tatt problematikken på alvor. NSM har observert at flere yrkesgrupper som tidligere hadde en høy grad av synlighet i nettsamfunn, nå er mye mindre synlige. Allikevel er det fortsatt grunn til å påpeke at virksomheter og personer som arbeider med sensitiv og sikkerhetsgradert informasjon bør være bevisste på hvilke sikkerhetsmessige utfordringer nettsamfunn kan utgjøre. Den teknologiske utviklingen vil fortsatt utfordre enkeltindivider og virksomheters sikkerhetsbevissthet. Sikkerhetsbevissthet ditt og vårt ansvar! Side 23 av 29

24 Vedlegg Hvordan tenke personvern i Facebook? Ove Skåra, Datatilsynet, 2007 Mange kaster seg rett ut i aktiv bruk av nettsamfunn uten å sette seg inn i hvordan det virkelig fungerer. Datatilsynet gir noen enkle råd som kan gjøre det enklere å ivareta ditt eget personvern, og respektere andres. Selv om Facebook har lagt opp til et system som i utgangspunktet skal gi brukerne god kontroll over hva de vil dele med hvem, bør man tenke gjennom hvilke opplysninger som er private og hvilke man vil dele med andre. Noen konkrete råd: Undersøk om nettsamfunnet har en personvernpolicy før du melder deg inn. Ta aktiv stilling til den! Sett deg inn i avkrysningsvalg du har for å beskytte dine opplysninger. Ta deg tid til å teste ut hvordan de ulike profilinnstillingene virker i praksis. Gi ikke fra deg hele e-postadresseboka til aktørene bak nettsamfunnet, og i alle fall ikke passordet til din e-postkonto, slik Facebook faktisk oppfordrer til ved registrering. I tillegg til at det er uklokt er det trolig også i strid med de avtalevilkårene du har inngått med leverandøren av din e-postkonto. Benytt en e-postadresse du uten større bryderi kan erstatte dersom du senere skulle oppleve å bli utsatt for spam, eller andre uønskede henvendelser via e-post. Du er selv ansvarlig for all informasjon du legger ut på profilen din. Legg ikke ut bilder eller personopplysninger om andre uten først å ha spurt dem om lov. Vær forsiktig med å legge ut opplysninger om politisk oppfatning, tro og seksuell legning. Dette er i norsk og europeisk personvernlovgivning regnet som sensitive personopplysninger. Det du ikke ville sagt om deg selv eller andre i en større forsamling av kjente og ukjente personer i den fysiske verden, bør du heller ikke publisere på Internett. Opplysninger du gir i fortrolighet til venner på din profil, kan lett bli klippet ut og benyttet i helt andre sammenhenger. 8. Sjekk om de som står bak nettsamfunnet kan bistå deg med å få fjernet krenkende bilder og personopplysninger. Bruk den muligheten om du finner åpenbart krenkende og sjikanerende innhold. Dersom innholdet er så ekstremt at det må fjernes raskt bør du kontakte politiet på hjemstedet ditt. Sjikane, trusler og spredning av andres personopplysninger på Internett kan være straffbart. Straffeloven, åndsverksloven og personopplysningsloven, er tre lover som regulerer disse forholdene. Les mer om dette på Her finner du også råd om hvordan du får fjernet uønskede personopplysninger på Internett. Side 24 av 29

25 Det kan også være lurt å reflektere over følgende: Selv om aktørene bak nettsamfunnet tilsynelatende har en god personvernpolicy vet du egentlig ingenting om dem og deres intensjoner i dag, eller i fremtiden. Nettsteder forandrer seg hele tiden, og kan få ny funksjonalitet, finne nye markedsmuligheter eller få nye eiere. Facebook forbeholder seg retten til å endre vilkår og personvernpolicy når som helst. Se derfor for deg muligheten for at de personopplysningene du har lagt ut kan bli utlevert og benyttet til helt andre formål, uten at du kan gjøre noe for å forhindre det. Er det uproblematisk at aktøren bak nettsamfunnet samler inn informasjon om deg også fra andre nettsteder, blogger, chattelinjer, andre brukere mv, slik for eksempel Facebook forbeholder seg retten til å gjøre? Du må regne med at eierne av nettsamfunnet lagrer all informasjon om deg i ubestemt tid, også etter at du har slettet profilen din. Facebook lagrer e-postadressene til alle du har sendt invitasjon til, også de som velger å ikke opprette sin egen profil. De må faktisk selv sende en forespørsel til Facebook om å få sin e-postadresse slettet. Er det riktig av deg å utlevere andres e-postadresser på denne måten? Husk at det blir dannet detaljerte profiler som sier svært mye om deg, og dine venners interesser og adferd, og ikke minst også relasjonene dere i mellom. Dette er informasjon som kan være svært interessant for kommersielle aktører, stalkers, kriminelle og andre. Tåler alt innholdet som du legger ut i profilen din å bli sett av skolens ledelse, arbeidsgiver, politiet eller komplett fremmede personer? Husk at bilder og personopplysningene du legger ut lett kan klippes ut og bli sett av andre langt utenfor din nære vennekrets. Vær forberedt på at det du legger ut av kommentarer og synspunkter i prinsippet blir liggende tilgjengelig på Internett for alltid, også etter at du selv kanskje har endret dine oppfatninger og ståsted. Datatilsynet har, sammen med Utdanningsdirektoratet og Teknologirådet laget en informasjonskampanje for ungdom om personvern, Det er DU som bestemmer. Denne tar opp mange problemstillinger som er relevante nettopp i denne sammenhengen. Mer informasjon finner du på Side 25 av 29